PROVEDBENA UREDBA KOMISIJE (EU) 2024/2979

оd 28. studenoga 2024.

o utvrđivanju pravila za primjenu Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća u pogledu cjelovitosti i osnovnih funkcionalnosti europskih lisnica za digitalni identitet

EUROPSKA KOMISIJA,

uzimajući u obzir Ugovor o funkcioniranju Europske unije,

uzimajući u obzir Uredbu (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (1), a posebno njezin članak 5.a stavak 23.,

budući da:

(1)

Europski okvir za digitalni identitet uspostavljen Uredbom (EU) br. 910/2014 važan je element za uspostavu sigurnog i interoperabilnog ekosustava digitalnog identiteta u cijeloj Uniji. Temelj okvira su europske lisnice za digitalni identitet („lisnice”), a cilj mu je fizičkim i pravnim osobama olakšati pristup uslugama u svim državama članicama i zajamčiti zaštitu osobnih podataka i privatnosti.

(2)	Na sve aktivnosti obrade osobnih podataka na temelju ove Uredbe primjenjuju se Uredba (EU) 2016/679 Europskog parlamenta i Vijeća (2) i, prema potrebi, Direktiva 2002/58/EZ Europskog parlamenta i Vijeća (3).

(3)

Člankom 5.a stavkom 23. Uredbe (EU) br. 910/2014 Komisija se ovlašćuje da prema potrebi utvrđuje relevantne specifikacije i postupke. To će učiniti putem četiri provedbene uredbe, koje se odnose na protokole i sučelja Provedbena uredba Komisije (EU) 2024/2982 (4), cjelovitost i osnovne funkcionalnosti Provedbena uredba Komisije (EU) 2024/2979 (5), osobne identifikacijske podatke i elektroničku potvrdu atributa Provedbena uredba Komisije (EU) 2024/2977 (6) te prijave Komisiji Provedbena uredba Komisije (EU) 2024/2980 (7). Ovom se Uredbom utvrđuju relevantni zahtjevi za cjelovitost i osnovne funkcionalnosti europskih lisnica za digitalni identitet.

(4)

Komisija redovito ocjenjuje nove tehnologije, prakse, norme ili tehničke specifikacije. Kako bi države članice u najvećoj mogućoj mjeri usklađeno razvijale i certificirale lisnice, tehničke specifikacije utvrđene u ovoj Uredbi temelje se na Preporuci Komisije (EU) 2021/946 od 3. lipnja 2021. o zajedničkom Unijinu paketu alata za koordinirani pristup europskom okviru za digitalni identitet (8), osobito na njezinu arhitekturnom i referentnom okviru. U skladu s uvodnom izjavom 75. Uredbe 2024/1183 Europskog parlamenta i Vijeća (9) Komisija bi ovu Provedbenu uredbu trebala preispitivati i, prema potrebi, ažurirati kako bi bila u skladu s globalnim kretanjima, arhitekturnim i referentnim okvirom te provjerenim praksama na unutarnjem tržištu.

(5)

Radi precizne komunikacije, tehničke diferencijacije i jasne dodjele odgovornosti potrebno je razlikovati razne komponente i konfiguracije lisnica. Izvedbu lisnice trebalo bi smatrati cjelovitim sustavom koji na raspolaganje stavlja pružatelj lisnice i koji je nužan za rad lisnice. Ona bi trebala obuhvaćati softverske i hardverske komponente te usluge, postavke i konfiguracije potrebne za pravilno funkcioniranje lisnice. Izvedba lisnice može se nalaziti na uređajima i u okruženjima korisnika te na pozadinskoj strukturi pružatelja. Jedinicu lisnice trebalo bi smatrati konkretnom konfiguracijom izvedbe lisnice za pojedinačnog korisnika. Ona bi trebala obuhvaćati aplikaciju instaliranu na uređaju ili u okruženju korisnika lisnice s kojom on izravno komunicira („instanca lisnice”) i potrebne sigurnosne karakteristike za zaštitu korisničkih podataka i transakcija. Te sigurnosne karakteristike trebale bi uključivati poseban softver ili hardver za enkripciju i čuvanje osjetljivih informacija. Instanca lisnice trebala bi biti dio jedinice lisnice i korisniku omogućivati pristup funkcionalnostima lisnice.

(6)

Sigurne kriptografske aplikacije lisnice kao zasebne specijalizirane komponente unutar jedinice lisnice potrebne su ne samo za zaštitu ključnih resursa, kao što su privatni kriptografski ključevi, nego i za ključne funkcionalnosti, kao što je predočavanje elektroničkih potvrda atributa. Primjena zajedničkih tehničkih specifikacija pružateljima lisnice može olakšati pristup ugrađenim sigurnim elementima. Sigurne kriptografske aplikacije lisnice mogu se staviti na raspolaganje na različite načine i za različite vrste sigurnih kriptografskih uređaja lisnice. Ako pružatelji lisnice stavljaju na raspolaganje prilagođene sigurne kriptografske aplikacije lisnice u obliku Java Card appleta za ugrađene sigurne elemente, trebali bi poštovati norme iz Priloga I. ili jednakovrijedne tehničke specifikacije.

(7)	Jedinice lisnice trebaju pružateljima osobnih identifikacijskih podataka ili elektroničkih potvrda atributa omogućiti da provjere izdaju li te podatke ili potvrde autentičnim jedinicama lisnice korisnika lisnice.

(8)

Kako bi se zajamčila integrirana i zadana zaštita podataka, lisnice bi trebale imati najsuvremenije tehnike za unapređenje zaštite privatnosti. One bi korisnicima trebale omogućiti da koriste lisnicu a da ih razne pouzdajuće strane lisnice pritom ne mogu pratiti, ako je to primjenjivo u dotičnom scenariju upotrebe. Primjerice, pružatelji lisnice stoga bi trebali razmisliti o tome da za potvrde jedinica lisnice primjenjuju najsuvremenije mjere zaštite privatnosti, kao što su kratkotrajne potvrde jedinica lisnice ili izdavanje u serijama. Nadalje, ugrađene politike otkrivanja trebale bi korisnike lisnice upozoravati na neprimjereno ili nezakonito otkrivanje atributa iz elektroničkih potvrda atributa.

(9)

Potvrde jedinica lisnice trebale bi pouzdajućim stranama lisnice koje zatraže atribute od jedinica lisnice omogućiti da provjere status valjanosti jedinice lisnice s kojom komuniciraju jer se potvrde jedinica lisnice moraju opozvati ako se jedinica lisnice više ne smatra valjanom. Informacije o statusu valjanosti jedinica lisnice trebale bi se davati na interoperabilan način kako bi ih mogle koristiti sve pouzdajuće strane lisnice. Nadalje, ako korisnici lisnice izgube jedinicu lisnice ili kontrolu nad njom, pružatelji lisnice trebali bi korisnicima omogućiti da zatraže njezin opoziv. Kako bi se zajamčile privatnost i nepovezivost, države članice bi i za potvrdu jedinice lisnice trebale primjenjivati tehnike za očuvanje privatnosti, kao što su korištenje višestrukih potvrda jedinice lisnice u različite svrhe, objava samo minimalnih relevantnih informacija o lisnici potrebnih za transakciju ili ograničavanje životnog vijeka potvrde jedinice lisnice kao alternativa upotrebi identifikatora opoziva.

(10)

Kako bi sve lisnice bile tehnički sposobne primati i predočavati osobne identifikacijske podatke i elektroničke potvrde atributa u prekograničnim scenarijima bez narušavanja interoperabilnosti, lisnice bi trebale podržavati unaprijed određene vrste formata podataka i selektivno otkrivanje. Kako je utvrđeno u Uredbi (EU) br. 910/2014, selektivno otkrivanje podataka koncept je prema kojem vlasnik podataka ima pravo otkriti samo određene dijelove većeg skupa podataka kako bi subjekt koji prima podatke dobio samo one informacije koje su potrebne za pružanje usluge koju je korisnik zatražio. Budući da lisnice trebaju korisniku omogućiti selektivno otkrivanje atributa, norme iz Priloga II. trebale bi se primjenjivati na način koji omogućuje tu karakteristiku lisnica. Uz to mogu podržavati druge formate i funkcionalnosti koji olakšavaju njihovu upotrebu u posebnim slučajevima.

(11)

Evidentiranje transakcija, odnosno korisniku dostupan pregled transakcija, važno je sredstvo za postizanje transparentnosti. Nadalje, evidencije bi trebale služiti da se, u slučaju sumnjivog ponašanja pouzdajućih strana lisnice, na zahtjev korisnika lisnice omogući brzo i jednostavno dijeljenje određenih informacija s nadležnim nadzornim tijelima uspostavljenima u skladu s člankom 51. Uredbe (EU) 2016/679.

(12)

Kako bi korisnik lisnice mogao koristiti elektronički potpis, trebalo bi mu izdati kvalificirani certifikat koji je vezan uz kvalificirano sredstvo za izradu elektroničkog potpisa. Korisnik lisnice trebao bi imati pristup aplikaciji za izradu potpisa. Za izdavanje kvalificiranih certifikata zaduženi su kvalificirani pružatelji usluga povjerenja, a pružatelji lisnica ili drugi subjekti trebali bi moći osigurati druge komponente. Na primjer, kvalificiranim uređajima za izradu elektroničkih potpisa mogu upravljati kvalificirani pružatelji usluga povjerenja kao uslugom ili se oni mogu koristiti lokalno s uređajem korisnika lisnice, primjerice kao pametna kartica. Slično tome, aplikacije za izradu potpisa mogu biti integrirane u instancu lisnice, biti zasebne aplikacije na uređaju korisnika lisnice ili biti dostupne na daljinu.

(13)

Objekti za izvoz i prenosivost podataka mogu evidentirati osobne identifikacijske podatke i elektroničke potvrde atributa koji su izdani određenoj jedinici lisnice. Ti objekti korisnicima lisnice omogućuju da dohvate relevantne podatke iz svoje jedinice lisnice i tako lakše ostvare pravo na prenosivost podataka. Poželjno je da pružatelji lisnica u jedinicama lisnice primijene ista tehnička rješenja i za izvođenje postupaka izrade sigurnosnih kopija i obnavljanja koji omogućuju obnovu izgubljenih jedinica lisnice ili prijenos informacija između pružatelja lisnice, kad je to primjereno i moguće bez narušavanja prava na zaštitu podataka i sigurnosti ekosustava digitalnog identiteta.

(14)

Generiranje pseudonima koji su specifični za pouzdajuću stranu lisnice trebalo bi korisnicima lisnice omogućiti da se autentificiraju ne otkrivajući pritom nepotrebne informacije pouzdajućim stranama lisnice. Kako je utvrđeno u Uredbi (EU) br. 910/2014, korisnike lisnice ne smije se sprečavati da uslugama pristupaju pod pseudonimom ako ne postoji pravni zahtjev da se za autentifikaciju upotrebljava pravni identitet. Europske lisnice za digitalni identitet stoga trebaju imati funkcionalnost za generiranje pseudonima koje odabiru i kojima upravljaju korisnici, a koji služe za autentifikaciju pri pristupu internetskim uslugama. Specifikacije iz Priloga V. stoga bi trebalo primijeniti tako da se omoguće te funkcionalnosti. Nadalje, pouzdajuće strane lisnice ne smiju od korisnika zahtijevati bilo kakve druge podatke osim onih koji su u registru određene pouzdajuće strane navedeni za predviđenu upotrebu lisnice. Korisnici lisnice trebali bi moći u svakom trenutku provjeriti registracijske podatke pouzdajućih strana.

(15)	Kako je utvrđeno u Uredbi (EU) 2024/1183, fizičkim ili pravnim osobama koje odluče ne koristiti lisnice države članice ne bi smjele, ni izravno ni neizravno, ograničavati pristup javnim ili privatnim uslugama i trebale bi im ponuditi odgovarajuća alternativna rješenja.

(16)	Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 42. stavkom 1. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća (10) te je on dao mišljenje 30. rujna 2024.

(17)	Mjere predviđene ovom Uredbom u skladu su s mišljenjem Odbora iz članka 48. Uredbe (EU) br. 910/2014,

DONIJELA JE OVU UREDBU:

POGLAVLJE I.

OPĆE ODREDBE

Članak 1.

Predmet i područje primjene

Ovom se Uredbom utvrđuju pravila o cjelovitosti i osnovnim funkcionalnostima lisnica, koja će se redovito ažurirati kako bi bila u skladu s razvojem tehnologije i normi te s radom na temelju Preporuke Komisije (EU) 2021/946, osobito na temelju arhitekturnog i referentnog okvira.

Članak 2.

Definicije

Za potrebe ove Uredbe primjenjuju se sljedeće definicije:

1.	„sigurna kriptografska aplikacija lisnice” znači aplikacija za upravljanje ključnim resursima povezana sa sigurnim kriptografskim uređajem lisnice čije kriptografske i nekriptografske funkcije koristi;

2.	„jedinica lisnice” znači jedinstvena konfiguracija izvedbe lisnice koja obuhvaća instance lisnice, sigurne kriptografske aplikacije lisnice i sigurne kriptografske uređaje lisnice i koju pružatelj lisnice daje pojedinačnom korisniku lisnice;

3.	„ključni resursi” znači resursi unutar lisnice ili povezani s njom koji su toliko izvanredno važni da bi zbog ugrožavanja njihove dostupnosti, povjerljivosti ili cjelovitosti mogućnost pouzdavanja u jedinicu lisnice bila ozbiljno narušena;

4.	„pružatelj osobnih identifikacijskih podataka” znači fizička ili pravna osoba odgovorna za izdavanje i opoziv osobnih identifikacijskih podataka i kriptografsko povezivanje osobnih identifikacijskih podataka određenog korisnika s određenom jedinicom lisnice;

5.	„korisnik lisnice” znači korisnik koji ima kontrolu nad jedinicom lisnice;

6.	„pouzdajuća strana lisnice” znači pouzdajuća strana koja se namjerava pouzdati u jedinice lisnice radi pružanja javnih ili privatnih usluga putem digitalne interakcije;

7.	„pružatelj lisnice” znači fizička ili pravna osoba koja stavlja na raspolaganje izvedbe lisnice;

8.	„potvrda jedinice lisnice” znači podatkovni objekt koji opisuje komponente jedinice lisnice ili omogućuje njihovu autentifikaciju i validaciju;

9.	„ugrađena politika otkrivanja” znači skup pravila koja je u elektroničku potvrdu atributa ugradio njezin pružatelj i koja definiraju uvjete koje pouzdajuća strana lisnice mora ispuniti da bi mogla pristupiti elektroničkoj potvrdi atributa;

10.	„instanca lisnice” znači aplikacija koja je instalirana i konfigurirana na uređaju ili u okruženju korisnika lisnice, dio je jedinice lisnice i korisniku lisnice služi za interakciju s jedinicom lisnice;

11.	„izvedba lisnice” znači kombinacija softvera, hardvera, usluga, postavki i konfiguracija, uključujući instance lisnice, najmanje jednu sigurnu kriptografsku aplikaciju lisnice i najmanje jedan sigurni kriptografski uređaj lisnice;

12.

„sigurni kriptografski uređaj lisnice” znači uređaj zaštićen od neovlaštenih radnji koji osigurava okruženje povezano sa sigurnom kriptografskom aplikacijom lisnice koje ona koristi za zaštitu ključnih resursa i u kojem se za nju izvršavaju kriptografske funkcije za sigurno izvođenje ključnih operacija;

13.	„kriptografska operacija lisnice” znači kriptografski mehanizam potreban u okviru autentifikacije korisnika lisnice i izdavanja ili predočavanja osobnih identifikacijskih podataka ili elektroničkih potvrda atributa;

14.	„pristupni certifikat pouzdajuće strane lisnice” znači certifikat za elektroničke pečate ili potpise kojim se autentificira i validira pouzdajuća strana lisnice, a koji izdaje pružatelj pristupnih certifikata pouzdajućih strana lisnice;

15.	„pružatelj pristupnih certifikata pouzdajućih strana lisnice” znači fizička ili pravna osoba koju je država članica ovlastila za izdavanje pristupnih certifikata pouzdajućih strana pouzdajućim stranama lisnice koje su registrirane u toj državi članici.

POGLAVLJE II.

CJELOVITOST EUROPSKIH LISNICA ZA DIGITALNI IDENTITET

Članak 3.

Cjelovitost jedinice lisnice

1. Radnje iz članka 5.a stavka 4. Uredbe (EU) br. 910/2014, osim autentifikacije korisnika lisnice radi pristupa jedinici lisnice, jedinice lisnice smiju izvršavati tek nakon što uspješno autentificiraju korisnika lisnice.

2. Pružatelji lisnice za svaku jedinicu lisnice potpisuju ili pečate najmanje jednu potvrdu jedinice lisnice u skladu sa zahtjevima iz članka 6. Certifikat koji se koristi za potpisivanje ili pečaćenje potvrde jedinice lisnice izdaje se na temelju certifikata s pouzdanog popisa iz Provedbene uredbe (EU) 2024/2980 o utvrđivanju pravila za primjenu Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća u pogledu prijava Komisiji koje se odnose na ekosustav europskih lisnica za digitalni identitet.

Članak 4.

Instance lisnice

1. Instance lisnice moraju za upravljanje ključnim resursima koristiti najmanje jedan sigurni kriptografski uređaj lisnice.

2. Pružatelji lisnice osiguravaju cjelovitost, autentičnost i povjerljivost komunikacije između instanci lisnice i sigurnih kriptografskih aplikacija lisnice.

3. Ako su ključni resursi povezani s izvršavanjem elektroničke identifikacije na visokoj razini osiguranja identiteta, kriptografske operacije lisnice ili druge operacije obrade ključnih resursa provode se u skladu sa zahtjevima za karakteristike i dizajn sredstava elektroničke identifikacije na visokoj razini osiguranja identiteta, kako je utvrđeno u Provedbenoj uredbi Komisije (EU) 2015/1502 (11).

Članak 5.

Sigurne kriptografske aplikacije lisnice

1. Pružatelji lisnice osiguravaju da sigurne kriptografske aplikacije lisnice:

(a)	kriptografske operacije lisnice u kojima se koriste ključni resursi, osim onih potrebnih jedinici lisnice za autentifikaciju korisnika, lisnice izvršavaju samo u slučajevima kad su te aplikacije uspješno autentificirale korisnike lisnice;

(b)

ako korisnike lisnice autentificiraju u kontekstu elektroničke identifikacije na visokoj razini osiguranja identiteta, tu autentifikaciju rade u skladu sa zahtjevima za karakteristike i dizajn sredstava elektroničke identifikacije na visokoj razini osiguranja identiteta, kako je utvrđeno u Provedbenoj uredbi (EU) 2015/1502;

(c)	mogu sigurno generirati nove kriptografske ključeve;

(d)	mogu sigurno izbrisati ključne resurse;

(e)	mogu generirati dokaz o posjedovanju privatnih ključeva;

(f)	štite privatne ključeve generirane tim sigurnim kriptografskim aplikacijama lisnice dok god oni postoje;

(g)	ispunjavaju zahtjeve za karakteristike i dizajn sredstava elektroničke identifikacije na visokoj razini osiguranja identiteta, kako je utvrđeno u Provedbenoj uredbi (EU) 2015/1502;

(h)	budu jedine komponente koje mogu izvršavati kriptografske operacije lisnice i bilo koje druge operacije s ključnim resursima u kontekstu elektroničke identifikacije na visokoj razini osiguranja identiteta.

2. Ako pružatelji lisnice odluče staviti na raspolaganje sigurnu kriptografsku aplikaciju lisnice za ugrađeni sigurni element, svoje tehničko rješenje moraju temeljiti na tehničkim specifikacijama iz Priloga I. ili na drugim jednakovrijednim tehničkim specifikacijama.

Članak 6.

Autentičnost i valjanost jedinice lisnice

1. Pružatelji lisnice osiguravaju da svaka jedinica lisnice sadržava potvrde jedinice lisnice.

2. Pružatelji lisnice osiguravaju da potvrde jedinice lisnice iz stavka 1. sadržavaju javne ključeve i da su odgovarajući privatni ključevi zaštićeni sigurnim kriptografskim uređajem lisnice.

3. Pružatelji lisnice dužni su:

(a)	obavijestiti korisnike lisnice o njihovim pravima i obvezama povezanima s njihovom jedinicom lisnice;

(b)	staviti na raspolaganje mehanizme, neovisne o jedinicama lisnice, za sigurnu identifikaciju i autentifikaciju korisnika lisnice;

(c)	pobrinuti se da korisnici lisnice imaju pravo zatražiti opoziv svojih potvrda jedinice lisnice pomoću mehanizama autentifikacije iz točke (b).

Članak 7.

Opoziv potvrda jedinice lisnice

1. Pružatelji lisnice jedini su subjekti koji mogu opozvati potvrde jedinica lisnice za jedinice lisnice koje su stavili na raspolaganje.

2. Pružatelji lisnice uspostavljaju javno dostupnu politiku kojom se utvrđuju uvjeti i rokovi za opoziv potvrda jedinica lisnice.

3. Ako pružatelji lisnice opozovu potvrde jedinica lisnice, pogođene korisnike o opozivu njihovih jedinica lisnice obavješćuju u roku od 24 sata te navode razlog opoziva i njegove posljedice za korisnika lisnice. Ta obavijest mora biti jezgrovita, lako dostupna i pisana jasnim i jednostavnim jezikom.

4. Ako opozovu potvrde jedinice lisnice, pružatelji lisnice objavljuju, na način kojim se čuva privatnost osobe, status valjanosti potvrde jedinice lisnice, a u potvrdi jedinice lisnice navode lokaciju te informacije.

POGLAVLJE III.

OSNOVNE FUNKCIONALNOSTI I KARAKTERISTIKE EUROPSKIH LISNICA ZA DIGITALNI IDENTITET

Članak 8.

Formati osobnih identifikacijskih podataka i elektroničkih potvrda atributa

Pružatelji lisnice osiguravaju da su izvedbe lisnice kompatibilne s osobnim identifikacijskim podacima i elektroničkim potvrdama atributa izdanima u skladu s popisom normi iz Priloga II.

Članak 9.

Evidencije transakcija

1. Neovisno o tome je li transakcija uspješno dovršena ili ne, instance lisnice evidentiraju sve transakcije s pouzdajućim stranama lisnice i drugim jedinicama lisnice, uključujući elektroničko potpisivanje i pečaćenje.

2. Evidentirane informacije sadržavaju barem:

(a)	vrijeme i datum transakcije;

(b)	ime, podatke za kontakt i jedinstveni identifikator odgovarajuće pouzdajuće strane lisnice te državu članicu u kojoj ta strana ima poslovni nastan ili, u slučaju drugih jedinica lisnice, relevantne informacije iz potvrde jedinice lisnice;

(c)	vrstu ili vrste podataka koji se traže i predočavaju u transakciji;

(d)	u slučaju nedovršenih transakcija, razlog nedovršenja.

3. Pružatelji lisnice osiguravaju cjelovitost, autentičnost i povjerljivost evidentiranih informacija.

4. Instance lisnice evidentiraju izvještaje koje korisnik iz svoje jedinice lisnice pošalje tijelima za zaštitu podataka.

5. Ako je to potrebno za pružanje usluga lisnice, pružatelji lisnice smiju pristupati evidencijama iz stavaka 1. i 2. na temelju prethodnog izričitog pristanka korisnika lisnice.

6. Evidencije iz stavaka 1. i 2. moraju ostati dostupne onoliko dugo koliko je propisano pravom Unije ili nacionalnim pravom.

7. Pružatelji lisnice korisnicima lisnice omogućuju izvoz evidentiranih informacija iz stavka 2.

Članak 10.

Ugrađeno otkrivanje

1. Pružatelji lisnice dužni su pobrinuti se da jedinice lisnice koje pružaju mogu obrađivati elektroničke potvrde atributa sa zajedničkim ugrađenim politikama otkrivanja iz Priloga III.

2. Instance lisnice moraju moći obrađivati i predočavati takve ugrađene politike otkrivanja iz stavka 1. zajedno s podacima primljenima od pouzdajuće strane lisnice koja ih je zatražila.

3. Instance lisnice provjeravaju ispunjava li pouzdajuća strana lisnice zahtjeve ugrađene politike otkrivanja i obavješćuju korisnika lisnice o rezultatu.

Članak 11.

Kvalificirani elektronički potpisi i pečati

1. Pružatelji lisnice osiguravaju da korisnici lisnice mogu dobiti kvalificirane certifikate za kvalificirane elektroničke potpise ili pečate povezane s kvalificiranim sredstvima za izradu potpisa ili pečata koja u odnosu na instance lisnice mogu biti lokalna, vanjska ili daljinska.

2. Pružatelji lisnice osiguravaju da se izvedbe lisnice za potrebe korištenja kvalificiranih certifikata iz stavka 1. mogu sigurno povezati s jednom od sljedećih vrsta kvalificiranih sredstava za izradu potpisa ili pečata: lokalnim, vanjskim ili daljinski upravljanim kvalificiranim sredstvima za izradu potpisa ili pečata za potrebe korištenja kvalificiranih certifikata iz stavka 1.

3. Pružatelji lisnice osiguravaju da korisnici lisnice koji su fizičke osobe imaju, barem u neprofesionalne svrhe, besplatan pristup aplikacijama za izradu potpisa koje omogućuju izradu besplatnih kvalificiranih elektroničkih potpisa pomoću certifikata iz stavka 1.

Članak 12.

Aplikacije za izradu potpisa

1. Aplikacije za izradu potpisa koje koriste jedinice lisnice na raspolaganje mogu staviti pružatelji lisnice, pružatelji usluga povjerenja ili pouzdajuće strane lisnice.

2. Aplikacije za izradu potpisa moraju imati sljedeće funkcije:

(a)	potpisivanje ili pečaćenje podataka koje daju korisnici lisnice;

(b)	potpisivanje ili pečaćenje podataka koje daje pouzdajuća strana;

(c)	izradu potpisa ili pečata barem u obveznim formatima iz Priloga IV.;

(d)	obavješćivanje korisnika lisnice o rezultatu postupka izrade potpisa ili pečata.

3. Aplikacije za izradu potpisa mogu biti integrirane u instance lisnice ili se nalaziti izvan njih. Ako se aplikacije za izradu potpisa oslanjaju na kvalificirana sredstva za izradu potpisa na daljinu i ako su integrirane u instance lisnice, moraju podržavati aplikacijsko programsko sučelje iz Priloga IV.

Članak 13.

Izvoz i prenosivost podataka

Ako je to tehnički izvedivo i osim u slučaju ključnih resursa, jedinice lisnice moraju moći sigurno izvoziti i omogućivati prenosivost osobnih podataka korisnika lisnice kako bi on mogao migrirati na jedinicu lisnice druge izvedbe lisnice na način kojim se postiže visoka razina osiguranja identiteta, kako je utvrđeno u Provedbenoj uredbi (EU) 2015/1502.

Članak 14.

Pseudonimi

1. Jedinice lisnice moraju moći generirati pseudonime za korisnike lisnice u skladu s tehničkim specifikacijama iz Priloga V.

2. Jedinice lisnice moraju moći generirati, na zahtjev pouzdajuće strane lisnice, pseudonim koji je specifičan i jedinstven za tu pouzdajuću stranu lisnice i taj joj pseudonim dostaviti zasebno ili u kombinaciji s osobnim identifikacijskim podacima ili potvrdom elektroničkih atributa koje ta pouzdajuća strana zatraži.

POGLAVLJE IV.

ZAVRŠNE ODREDBE

Članak 15.

Stupanje na snagu

Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu 28. studenoga 2024.

Za Komisiju

Predsjednica

Ursula VON DER LEYEN

(1) SL L 257, 28.8.2014., str. 73., ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1., ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3) Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37., ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(4) Provedbena uredba Komisije (EU) 2024/2982 od 28. studenoga 2024. o utvrđivanju pravila za primjenu Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća u pogledu protokola i sučelja koje treba podržavati europski okvir za digitalni identitet (SL L, 2024/2982, 4.12.2024., ELI: http://data.europa.eu/eli/reg_impl/2024/2982/oj).

(5) Provedbena uredba Komisije (EU) 2024/2979 od 28. studenoga 2024. o utvrđivanju pravila za primjenu Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća u pogledu cjelovitosti i osnovnih funkcionalnosti europskih lisnica za digitalni identitet (SL L, 2024/2979, 4.12.2024., ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).

(6) Provedbena uredba Komisije (EU) 2024/2977 od 28. studenoga 2024. o utvrđivanju pravila za primjenu Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća u pogledu osobnih identifikacijskih podataka i elektroničkih potvrda atributa koji se izdaju europskim lisnicama za digitalni identitet (SL L, 2024/2977, 4.12.2024., ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj).

(7) Provedbena uredba Komisije (EU) 2024/2980 od 28. studenoga 2024. o utvrđivanju pravila za primjenu Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća u pogledu prijava Komisiji koje se odnose na ekosustav europskih lisnica za digitalni identitet (SL L, 2024/2980, 4.12.2024., ELI: http://data.europa.eu/eli/reg_impl/2024/2980/oj).

(8) SL L 210, 14.6.2021., str. 51., ELI: http://data.europa.eu/eli/reco/2021/946/oj.

(9) Uredba (EU) 2024/1183 Europskog parlamenta i Vijeća od 11. travnja 2024. o izmjeni Uredbe (EU) br. 910/2014 u pogledu uspostave europskog okvira za digitalni identitet (SL L, 2024/1183, 30.4.2024., ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(10) Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39., ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(11) Provedbena uredba Komisije (EU) 2015/1502 оd 8. rujna 2015. o utvrđivanju minimalnih tehničkih specifikacija i postupaka za razine osiguranja identiteta koje se pripisuju sredstvima elektroničke identifikacije u skladu s člankom 8. stavkom 3. Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu (SL L 235, 9.9.2015., str. 7., ELI: http://data.europa.eu/eli/reg_impl/2015/1502/oj).